MOHU: ez lehet a csalók legújabb trükkje, így játszhatják ki a rendszert

Az IT-biztonsággal foglalkozó Mantra Information Security felfigyelt egy kritikus hibára a MOHU rendszerével kapcsolatban.

2024. november 28., 10:18

Szerző: 168

MOHU: ez lehet a csalók legújabb trükkje, így játszhatják ki a rendszert

A 168.hu többször is foglalkozott már a MOHU palackvisszaváltó rendszerével, ám úgy tűnik, mindez kevés volt, mert minden nap hoz valami újdonságot vele kapcsolatban. Ahogyan az köztudott, a repontokon jelenleg a legnépszerűbb megoldás a készpénzre is váltható utalvány, melyen a visszaváltott palackok adatai mellett az összeg és a széles, alul hosszú számsorral szegélyezett vonalkód látható. A legtöbb egydimenziós vonalkódhoz hasonlóan ez is a fontosabb információkat tartalmazza különféle vastag és vékony csíkokba kódolva, a vonalkód alatti szám pedig megegyezik a benne tárolt számsorral.

Ám a MOHU rendszerében azonban nem ilyen egyszerű a képlet, az IT-biztonsággal foglalkozó Mantra Information Security ugyanis felfigyelt egy kritikus hibára, amely elméletben jelentős anyagi haszonszerzésre adhatna lehetőséget a rosszindulatú szereplőknek. Az Infostart cikke szerint a vonalkód alatt feltüntetett számsorozat egy részlete ugyanis mutatja az utalvány értékét, amelynek megváltoztatása esetleges visszaélésekre adhat lehetőséget, amennyiben egy további metódust is követnek a rosszindulatú felek.

Ez a MOHU-t érintő csalás lényege

Az eljárás lényege, hogy a kódok alatti számsorban van egy ellenőrző számjegy, ami gyakorlatilag egy hibaellenőrző kód. Ez a számsorozat érvényességét erősíti meg a kasszáknál. Ez az algoritmus lehetővé teszi a kártyaszám utolsó számjegyének kiszámítását az előzőek alapján, lehetővé téve, hogy a rendszerek hibákat észleljenek a tévesen beírt számjegyek esetén, mielőtt egy tranzakció végrehajtását megkísérelnék.

Márpedig ez a hibaellenőrző kód a Mantra Information Security alapítója, Bucsay Balázs szerint feltörhető, így az utalvány bármely kódjának megadásával (az ellenőrző számjegy kivételével) kiszámíthatóvá válik a helyes ellenőrző számjegy. Ez pedig azt jelenti, hogy ha valaki módosítaná az utalvány kódjában szereplő összeget, egy új érvényes utalványt is létrehozhatna. Ezután pedig a vonalkód csíkjainak előállítása sem túl nehéz, az bármikor elvégezhető egy nyílt forráskódú eszköz vagy online források segítségével.